Política de Privacidad

Stand: 29.05.2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Jens Freudenau
Eisenacher Straße 66
10823 Berlin
Alemania

E-Mail: support@tracktoprint.com

2. Erhebung und Speicherung personenbezogener Daten

2.1 Beim Besuch der Website

Beim Aufrufen unserer Website werden durch den auf Ihrem Endgerät zum Einsatz kommenden Browser automatisch Informationen an den Server unserer Website gesendet. Diese Informationen werden temporär in einem sog. Logfile gespeichert. Folgende Informationen werden dabei ohne Ihr Zutun erfasst und bis zur automatisierten Löschung gespeichert:

  • Dirección IP del ordenador solicitante
  • Fecha y hora del acceso
  • Nombre y URL del archivo recuperado
  • Sitio web desde el cual se realiza el acceso (URL de referencia)
  • Verwendeter Browser und ggf. das Betriebssystem Ihres Rechners

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb der Website).

2.2 Bei einer Bestellung

TrackToPrint kann ohne Registrierung und ohne Anlegen eines Kundenkontos genutzt werden. Bei einer Bestellung erheben wir folgende Daten zur Vertragsabwicklung:

  • Nombre y apellidos
  • Dirección de correo electrónico
  • Liefer- und ggf. Rechnungsadresse
  • Bestelldetails (Produkt, Format, Preis, Bestelldatum)

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.3 Bei der Erstellung von Postern aus GPX-Dateien

Kern unseres Dienstes ist die Erstellung personalisierter Poster aus GPX-Dateien (GPS Exchange Format). Diese Dateien enthalten in der Regel:

  • Geografische Koordinaten (Längen- und Breitengrade) Ihrer Aktivität
  • Zeitstempel zu den einzelnen Trackpunkten
  • Optional: Höhendaten, Herzfrequenz, Trittfrequenz und weitere Sportmetriken
  • Optional: Name der Aktivität, Datum und Uhrzeit

Verarbeitung ausschließlich in Ihrem Browser: Die von Ihnen ausgewählte GPX-Datei wird <strong>nicht auf unsere Server hochgeladen</strong>. Das Parsen der Datei und die Generierung der Kartenvisualisierung erfolgen vollständig lokal in Ihrem Webbrowser auf Ihrem Endgerät. Wir erhalten zu keinem Zeitpunkt Zugriff auf Ihre vollständigen GPX-Daten oder das daraus resultierende Bewegungsprofil.

Hinweis zu Standortdaten: GPX-Dateien enthalten detaillierte Bewegungsprofile, aus denen sich Aufenthaltsorte, gewohnheitsmäßige Strecken und ggf. der Wohnort ableiten lassen. Da die Verarbeitung ausschließlich lokal in Ihrem Browser erfolgt, verbleiben diese sensiblen Daten auf Ihrem Endgerät.

Erst im Moment der Bestellung wird das finale, gerenderte Poster als Bilddatei bzw. PDF an unseren Server übermittelt und von dort direkt an unseren Druckdienstleister (siehe Abschnitt 5 – Gelato) weitergegeben. Die ursprüngliche GPX-Datei selbst verlässt Ihren Browser nicht.

Beim Aufruf des Konfigurators werden zur Darstellung der Karte technisch notwendige Daten an den Kartendienst Mapbox übermittelt (siehe Abschnitt 5 – Mapbox).

Rechtsgrundlage für die Übermittlung des fertigen Posters zur Bestellabwicklung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.4 Bei der Nutzung der Strava-Integration

Als Alternative zum manuellen Upload einer GPX-Datei bieten wir Ihnen die Möglichkeit, Ihr Strava-Konto mit TrackToPrint zu verbinden, um Aktivitäten direkt aus Strava als Grundlage für Ihr Poster zu verwenden. Die Nutzung dieser Funktion ist optional.

Ablauf der Verbindung (OAuth 2.0): Nach Ihrer Zustimmung werden Sie zur Authentifizierung an Strava weitergeleitet. Wir fordern dabei die Berechtigungen <code>read</code> und <code>activity:read_all</code> an, um Ihre Aktivitäten lesen zu können. Nach erfolgreicher Autorisierung erhalten wir von Strava einen Access Token und einen Refresh Token. Folgende Daten werden temporär gespeichert und mit Ihrer aktuellen Browser-Session verknüpft:

  • Strava-Athleten-ID (strava_id)
  • Access Token und Refresh Token
  • Ablaufzeitpunkt des Access Tokens

Abruf von Aktivitäten: Nach erfolgreicher Verbindung rufen wir Ihre Aktivitätsliste live über die Strava-API ab (/athlete/activities). Diese Liste wird nicht dauerhaft gespeichert, sondern nur im Arbeitsspeicher zur Anzeige im Konfigurator gehalten.

Import einer Aktivität: Wählen Sie eine Aktivität für ein Poster aus, laden wir über die Strava Streams API die GPS-Koordinaten, Zeitstempel, Höhendaten und Distanzwerte der ausgewählten Aktivität. Aus diesen Daten generieren wir eine GPX-Datei, die <strong>temporär</strong> unter <code>storage/public/gpx/</code> abgelegt wird. Diese Datei wird gelöscht, sobald Ihr Browser sie geladen und verarbeitet hat. Zusätzlich löscht ein stündlicher Cronjob alle Strava-GPX-Dateien, die älter als 60 Minuten sind. Die rohen JSON-Daten von Strava werden zu keinem Zeitpunkt persistent gespeichert.

Die weitere Verarbeitung erfolgt anschließend wie unter Abschnitt 2.3 beschrieben (Kartenrendering im Browser, Übermittlung des fertigen Posters bei Bestellung).

Trennung der Verbindung: Sie können die Verbindung zu Strava jederzeit trennen. Dabei wird der Token bei Strava widerrufen (<code>/oauth/deauthorize</code>) und die oben genannten Felder werden gelöscht. Alternativ können Sie den Zugriff auch direkt in Ihren <a href="https://www.strava.com/settings/apps" target="_blank" rel="noopener">Strava-Kontoeinstellungen</a> widerrufen. Eine Trennung erfolgt zudem automatisch mit Ablauf Ihrer Browser-Session.

La base jurídica de Strava OAuth es el artículo 6, apartado 1, letra a) del RGPD (consentimiento), mediante su autorización en el flujo de OAuth, así como el artículo 6, apartado 1, letra b) del RGPD (cumplimiento del contrato) para la posterior creación de la publicación. Puede revocar su consentimiento en cualquier momento, desconectándose, con efecto para el futuro.

3. Finalidades del tratamiento de datos

Tratamos sus datos personales con los siguientes fines:

  • Prestación del servicio TrackToPrint (configuración y creación de pósteres)
  • Gestión de pedidos, incluyendo el pago y el envío
  • Envío de correos electrónicos transaccionales (confirmación de pedido, aviso de envío, factura)
  • Comunicación relativa a su pedido
  • Cumplimiento de las obligaciones legales de conservación de documentos (en particular, el artículo 147 de la Ley General Tributaria y el artículo 257 del Código de Comercio alemán)
  • Seguridad, análisis de errores y mejora de nuestro servicio

4. Fundamentos jurídicos

El tratamiento de sus datos se basa en los siguientes fundamentos jurídicos:

  • Art. 6 Abs. 1 lit. a DSGVO – Consentimiento (por ejemplo, conexión con Strava)
  • Art. 6 Abs. 1 lit. b DSGVO – Cumplimiento del contrato (prestación del servicio, tramitación del pedido)
  • Art. 6 Abs. 1 lit. c DSGVO – Obligación legal (obligaciones de conservación)
  • Art. 6 Abs. 1 lit. f DSGVO – Interés legítimo (seguridad, análisis de errores)

5. Cesión de datos a terceros y a encargados del tratamiento

No se cederán sus datos personales a terceros para fines distintos de los que se indican a continuación.

Alojamiento web (Hetzner)

Nuestra infraestructura de servidores está gestionada por la Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Alemania.

El tratamiento de los datos personales se lleva a cabo exclusivamente en centros de datos alemanes y finlandeses, es decir, dentro de la UE o del EEE. El tratamiento se realiza sobre la base de un contrato de encargado del tratamiento, de conformidad con el artículo 28 del RGPD. Hetzner cuenta con la certificación ISO 27001 (seguridad de la información).

La base jurídica de Hetzner es el artículo 6, apartado 1, letra b) del RGPD (cumplimiento del contrato), así como el artículo 6, apartado 1, letra f) del RGPD (interés legítimo en el funcionamiento seguro del servicio). Más información: https://www.hetzner.com/de/legal/privacy-policy

Copia de seguridad (Hetzner Storage Share)

Para garantizar la seguridad de los datos almacenados, realizamos copias de seguridad automáticas a diario. Los datos de las copias de seguridad se transmiten cifrados y se almacenan en un espacio compartido de Nextcloud Storage de Hetzner Online GmbH. El almacenamiento se lleva a cabo exclusivamente en centros de datos situados en Alemania y Finlandia.

Las copias de seguridad se utilizan exclusivamente para la recuperación en caso de pérdida de datos y no se emplean para ningún otro fin. Los archivos de copia de seguridad se eliminan automáticamente al cabo de 30 días. La base jurídica es el artículo 6, apartado 1, letra f) del RGPD (interés legítimo en la seguridad de los datos).

Impresión y envío (Gelato)

Para la producción y el envío de los pósteres solicitados utilizamos el servicio de impresión bajo demanda Gelato Gelato ASA, Schweigaards gate 33, 0191 Oslo, Noruega.}

Para la tramitación del pedido, se transmiten los siguientes datos a Gelato:

  • Nombre y dirección de entrega del destinatario
  • Dirección de correo electrónico (para recibir notificaciones de envío)
  • Detalles del pedido (formato, material, cantidad)
  • El archivo del póster ya renderizado (PDF)

Los datos GPX originales se no a Gelato. Gelato produce los carteles en centros de impresión regionales dentro de la UE, siempre que sea logísticamente posible. Noruega forma parte del EEE; para las transferencias se aplica el mismo nivel de protección de datos que dentro de la UE.

La base jurídica de Gelato es el artículo 6, apartado 1, letra b) del RGPD (cumplimiento del contrato). El tratamiento se lleva a cabo sobre la base de un contrato de encargado del tratamiento, de conformidad con el artículo 28 del RGPD. Más información: https://www.gelato.com/legal/privacy-policy

Visualización del mapa (Mapbox)

Para mostrar la vista previa interactiva en el configurador de pósteres utilizamos el servicio de mapas Mapbox Mapbox, Inc., 740 15th Street NW, 5.ª planta, Washington, D.C. 20005, EE. UU.}

Al abrir el configurador, se cargan los mosaicos de mapas desde los servidores de Mapbox. En este proceso, se transmiten a Mapbox los datos técnicamente necesarios, en particular:

  • Dirección IP
  • Secciones del mapa solicitadas (coordenadas de la región mostrada)
  • Información sobre el navegador y el dispositivo (User-Agent)

Mapbox, en el marco del Marco de Protección de Datos UE-EE. UU. (DPF) certificado, lo que garantiza un nivel adecuado de protección de datos para las transferencias a los Estados Unidos, de conformidad con el artículo 45 del RGPD. Además, se aplican las cláusulas tipo de protección de datos previstas en el artículo 46, apartado 2, letra c), del RGPD.

La base jurídica para el uso de Mapbox es el artículo 6, apartado 1, letra f) del RGPD (interés legítimo en la visualización funcional de mapas), así como el artículo 6, apartado 1, letra b) del RGPD en caso de utilizar el configurador en el marco de un pedido. Más información: https://www.mapbox.com/legal/privacy

Envío de correos electrónicos (Brevo)

Para el envío de correos electrónicos transaccionales (por ejemplo, confirmaciones de pedidos, notificaciones de envío), utilizamos el servicio Brevo Sendinblue GmbH, Köpenicker Straße 126, 10179 Berlín, Alemania.}

Con este fin, Brevo trata las direcciones de correo electrónico, así como el contenido de los correos electrónicos enviados (por ejemplo, el nombre del destinatario o los detalles del pedido). El tratamiento se lleva a cabo exclusivamente en servidores ubicados dentro de la UE.

La base jurídica de Brevo es el artículo 6, apartado 1, letra b) del RGPD (cumplimiento de un contrato). El tratamiento se lleva a cabo sobre la base de un contrato de encargado del tratamiento, de conformidad con el artículo 28 del RGPD. El contrato de encargado del tratamiento puede consultarse como anexo de las condiciones de uso de Brevo: https://www.brevo.com/legal/termsofuse/#annex

Gestión de pagos (Mollie)

Para gestionar los pagos utilizamos el servicio Mollie Mollie B.V., Keizersgracht 126, 1015 CW Ámsterdam, Países Bajos.}

Dependiendo del método de pago elegido (por ejemplo, domiciliación bancaria SEPA, transferencia inmediata, PayPal o tarjeta de crédito), Mollie trata el nombre, la dirección de correo electrónico, la dirección de facturación y los datos necesarios para el método de pago en cuestión. La introducción de datos de pago sensibles se realiza directamente en Mollie; nosotros no tenemos acceso a los datos completos de la tarjeta de crédito. El tratamiento se lleva a cabo dentro de la UE.

La base jurídica para Mollie es el artículo 6, apartado 1, letra b) del RGPD (cumplimiento de un contrato). El tratamiento se lleva a cabo sobre la base de un contrato de encargado del tratamiento, de conformidad con el artículo 28 del RGPD. Más información: https://www.mollie.com/de/privacy

Supervisión de errores (Sentry)

Para detectar y solucionar errores técnicos, utilizamos el servicio Sentry Functional Software, Inc., que opera bajo el nombre comercial de Sentry, 45 Fremont Street, 8.ª planta, San Francisco, CA 94105, EE. UU.}

Utilizamos exclusivamente la Región de la UE de Sentry (de.sentry.io). El tratamiento y el almacenamiento de los datos de errores se llevan a cabo en centros de datos situados dentro de la Unión Europea. En condiciones normales de funcionamiento, no se realiza ninguna transferencia a los Estados Unidos.

Sentry recopila automáticamente información técnica cuando se produce un error en nuestra aplicación. Entre estos datos se incluyen, en particular:

  • Mensaje de error técnico y seguimiento de la pila
  • URL de la página visitada
  • Información sobre el navegador y el dispositivo (User-Agent)
  • Fecha y hora del error

Hemos configurado Sentry de tal manera que, por defecto, no se recopilan datos personales (opción send_default_pii = false). En concreto, no se transmiten a Sentry ni la dirección IP del usuario, ni los ID de usuario con los que se ha iniciado sesión, ni el contenido de las cookies o los cuerpos de las solicitudes.

La base jurídica para el uso de Sentry es el artículo 6, apartado 1, letra f) del RGPD (interés legítimo en garantizar un funcionamiento estable y sin errores de la aplicación). El tratamiento se lleva a cabo en virtud de un contrato de encargado del tratamiento, de conformidad con el artículo 28 del RGPD. Más información: https://sentry.io/privacy/

Integración con Strava

Si utiliza la integración opcional con Strava, se produce un intercambio de datos con Strava, Inc., 3rd Floor, 208 Utah Street, San Francisco, CA 94103, USA.

Strava actúa como responsable independiente del tratamiento de datos en el marco de su plataforma; usted mantiene una relación contractual directa con Strava y ha aceptado su propia política de privacidad. En el marco de la integración, se intercambian los siguientes datos:

  • De nuestra parte a Strava: Solicitudes de autenticación OAuth con nuestro ID de cliente
  • De Strava para nosotros: ID de usuario de Strava, token de acceso/actualización, lista de tus actividades y, para la actividad seleccionada, coordenadas GPS, marca de tiempo y datos de altitud y distancia

La transmisión de datos a Strava solo se lleva a cabo después de que usted haya dado su consentimiento expreso en el proceso de OAuth. Strava trata los datos en los Estados Unidos. Strava está sujeta al Marco de Protección de Datos UE-EE. UU. (DPF) certificado, lo que garantiza un nivel adecuado de protección de datos para las transferencias a los Estados Unidos, de conformidad con el artículo 45 del RGPD.

La base jurídica de la integración de Strava es el artículo 6, apartado 1, letra a) del RGPD (consentimiento). Puede retirar este consentimiento en cualquier momento desconectándolo en el configurador o directamente en su Configuración de Strava revocar.

Más información sobre la protección de datos en Strava: https://www.strava.com/legal/privacy

6. Cookies

En nuestra página web utilizamos cookies. Se trata de pequeños archivos que su navegador crea automáticamente y almacena en su dispositivo. Las cookies no causan ningún daño a su dispositivo y no contienen virus.

Utilizamos los siguientes tipos de cookies:

  • Cookies de sesión: Para el registro, la cesta de la compra y el uso del configurador (técnicamente necesario)
  • Token CSRF: Para proteger contra ataques de falsificación de solicitudes entre sitios (técnicamente necesario)
  • Cookies del proveedor de servicios de pago: Mollie puede instalar sus propias cookies durante el proceso de pago con el fin de prevenir el fraude

La base jurídica para las cookies técnicamente necesarias es el artículo 25, apartado 2, número 2, de la TDDDG, en relación con el artículo 6, apartado 1, letra f), del RGPD.

7. Sus derechos

Usted tiene los siguientes derechos frente a nosotros en relación con los datos personales que le conciernen:

  • Derecho a la información (Art. 15 DSGVO)
  • Derecho de rectificación (Art. 16 DSGVO)
  • Derecho de supresión (Art. 17 DSGVO)
  • Derecho a la limitación del tratamiento (Art. 18 DSGVO)
  • Derecho a la portabilidad de datos (Art. 20 DSGVO)
  • Derecho de oposición (Art. 21 DSGVO)
  • Derecho a revocar un consentimiento otorgado (Art. 7 Abs. 3 DSGVO)

Además, tiene derecho a presentar una reclamación ante una autoridad de control de protección de datos en relación con el tratamiento que hacemos de sus datos personales. La autoridad de control competente en nuestro caso es la Comisionado de Berlín para la Protección de Datos y Libertad de Información, Alt-Moabit 59-61, 10555 Berlin.

8. Seguridad de los datos

Durante la visita al sitio web, utilizamos el protocolo SSL (Secure Socket Layer), ampliamente extendido, junto con el nivel de cifrado más alto que admita su navegador. Todos los datos se transmiten cifrados.

Los datos confidenciales, como los tokens de Strava, se almacenan cifrados en nuestra base de datos. Los datos de pago se introducen exclusivamente a través de nuestro proveedor de servicios de pago (véase la sección 5 – Mollie); nosotros no tenemos acceso a los datos completos de las tarjetas de crédito ni a los datos bancarios.

9. Periodo de conservación

Conservamos sus datos personales solo durante el tiempo que sea necesario para cumplir con los fines previstos o mientras existan los plazos de conservación legales.

  • Datos del comprador (nombre, dirección, correo electrónico): en el marco de la tramitación de los pedidos, así como durante el plazo de conservación exigido por la ley
  • Archivos GPX (subidos manualmente): se procesan exclusivamente en el navegador del usuario y no se almacenan en nuestros servidores
  • Archivos GPX (generados desde Strava): Se almacena temporalmente; se elimina tras su procesamiento por parte del navegador, a más tardar tras 60 minutos mediante una tarea programada cada hora
  • Tokens OAuth de Strava: solo mientras dure la sesión del navegador o hasta que el usuario desconecte activamente la conexión
  • Archivos de pósteres renderizados: se transmiten a Gelato para la tramitación del pedido y se conservan, en el marco de las obligaciones de conservación previstas en la legislación mercantil, como parte de la documentación del pedido
  • Datos del pedido y facturas: 10 años, de conformidad con el artículo 147 de la Ley General Tributaria (AO) y el artículo 257 del Código de Comercio (HGB)
  • Archivos de registro: por lo general, un máximo de 14 días
  • Registros de errores (Sentry): un máximo de 90 días
  • Datos de copia de seguridad: 30 días

Una vez transcurrido el plazo correspondiente, los datos se eliminarán, siempre que no existan otras obligaciones legales de conservación.

10. Modificaciones de esta política de privacidad

Nos reservamos el derecho a modificar esta política de privacidad para que se ajuste en todo momento a los requisitos legales vigentes o para reflejar cambios en nuestros servicios. En caso de que vuelva a visitar nuestra página web, se aplicará la nueva política de privacidad.

11. Contacto

Si tiene alguna pregunta sobre la recogida, el tratamiento o el uso de sus datos personales, o si desea solicitar información, la rectificación, el bloqueo o la supresión de datos, póngase en contacto con:

E-Mail: support@tracktoprint.com